JP6549518B2 - コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム - Google Patents

コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム Download PDF

Info

Publication number
JP6549518B2
JP6549518B2 JP2016097363A JP2016097363A JP6549518B2 JP 6549518 B2 JP6549518 B2 JP 6549518B2 JP 2016097363 A JP2016097363 A JP 2016097363A JP 2016097363 A JP2016097363 A JP 2016097363A JP 6549518 B2 JP6549518 B2 JP 6549518B2
Authority
JP
Japan
Prior art keywords
common key
proxy
object name
identifier
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016097363A
Other languages
English (en)
Other versions
JP2017204836A (ja
Inventor
淳 栗原
淳 栗原
健治 横田
健治 横田
敦士 田上
敦士 田上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016097363A priority Critical patent/JP6549518B2/ja
Publication of JP2017204836A publication Critical patent/JP2017204836A/ja
Application granted granted Critical
Publication of JP6549518B2 publication Critical patent/JP6549518B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、コンテンツに関する名前に基づきルーティングを行うコンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラムに関する。
コンテンツに関する名前に基づきコンテンツの配信を行うネットワークが提案されている。特許文献1及び非特許文献1は、その様なネットワークの1つであるコンテンツ・セントリック・ネットワーク(CCN:Content Centric Networking)を開示している。
CCNにおいて、コンテンツを公開するサーバ装置は当該コンテンツを1つ以上のチャンクと呼ばれるオブジェクトに分割し、クライアント装置は、この分割されたオブジェクト単位でコンテンツを取得する。また、CCNにおいて、オブジェクトの転送を行った通信装置(以下、転送装置と呼ぶ。)は、当該オブジェクトを保存(キャッシュ)できる。この転送装置は、自装置が保持しているオブジェクトを要求するインタレスト・パケット(要求パケット)をクライアント装置から受信すると、当該インタレスト・パケットをサーバ装置に向けて転送することなく、自装置が保持するオブジェクトを、当該インタレスト・パケットの送信元のクライアント装置に向けて送信できる。
以下に、転送装置の動作の一例を説明する。転送装置は、CS(Contents Store)と、FIB(Forward Information Base)と、PIT(PIT:Pending Interest Table)を管理する。CSは、自装置が保持しているオブジェクトを示す情報である。FIBは、オブジェクト名と、当該オブジェクト名のオブジェクトを要求するインタレスト・パケットの転送インタフェースとの関係を示す情報である。PITは、転送したインタレスト・パケットが要求するオブジェクトと、当該転送したインタレスト・パケットを受信したインタフェースとの関係を示す情報である。
転送装置は、インタレスト・パケットを受信すると、CSを検索し、当該インタレスト・パケットが要求するオブジェクトを保持しているか否かを判定する。保持している場合には、自装置が保持しているオブジェクトを、当該インタレスト・パケットの送信元のクライアント装置に向けて送信する。一方、受信したインタレスト・パケットが要求するオブジェクトを保持していない場合には、PITを検索して、当該インタレスト・パケットと同じオブジェクトを要求するインタレスト・パケットを既に転送し、当該オブジェクトの受信待ちの状態であるかを判定する。受信待ちの状態であると、受信したインタレスト・パケットを転送せず、当該インタレスト・パケットの受信インタフェースを、当該インタレスト・パケットが要求するオブジェクトに関連付ける様にPITを更新する。一方、受信したインタレスト・パケットが要求するオブジェクトの受信待ちでなければ、FIBに基づき判定したインタフェースから当該インタレスト・パケットを転送すると共にPITを更新する。また、転送装置は、オブジェクトを受信すると、当該オブジェクトの転送先インタフェースをPITに基づき判定し、当該オブジェクトに関する情報をPITから削除する。また、転送装置は、受信して転送したオブジェクトを保存するとCSを更新する。
オブジェクト名は、通常、コンテンツ名にオブジェクトの番号を付した名前とされ、コンテンツ名は、URLやファイルシステムと同様の考え方により付与される。つまり、例えば、ドメイン名、サーバ名、フォルダ名、ファイル名を連結した名前で表される。したがって、インタレスト・パケットにより、ユーザがどの様なコンテンツを取得しようとしているのかが明らかとなる。
ユーザが取得しようとしているコンテンツを秘匿するため、非特許文献2及び3は、インタレスト・パケット内のオブジェクト名を難読化又は暗号化する構成を開示している。
特開2009−277234号公報
V.Jacobson,et al.,"Networking Named Content",in Proceedings of ACM CoNEXT 2009,2009年12月 R.Tourani,et al.,"Catch me if you can:A practical framework to evade censorship in information centric networks",In Proc.ACM ICN 2015,167−176頁,2015年9月〜10月 C.Ghali al.,"Interest based access control for content centric networks",In Proc.ACM ICN 2015,147−156頁,2015年9月〜10月
非特許文献2及び3は、オブジェクト名の暗号化・難読化について、所謂、確定論的な手法を使用している。つまり、オブジェクト名と、当該オブジェクト名を暗号化した値との関係が常に同じとなる手法を使用している。CCNにおいては、1つのオブジェクトのサイズについて、例えば、64KB程度の上限値が定められており、1つのコンテンツの総てのオブジェクトを取得するには多数のインタレスト・パケットを発行する必要がある。通常、同じコンテンツのオブジェクトの名前は、最後のオブジェクト番号が異なるのみであり、クライアント装置は、オブジェクト番号の順にインタレスト・パケットを発行する。
したがって、非特許文献2及び3の構成では、巨大な暗号文の辞書を作成して統計的な解析を施すことで、あるユーザがクライアント装置を使用して取得しようとしているコンテンツが解読され得る。また、暗号化されたオブジェクト名が常に同じであるため、クライアント装置が定期的に同じ名前のオブジェクトをポーリングしている等、ユーザの振る舞いについての情報が漏洩し得る。さらに、転送装置がインタレスト・パケットのオブジェクト名を判定できないため、転送装置のキャッシュを使用することができなくなる。
本発明は、クライアント装置が取得するオブジェクトを効果的に秘匿できるコンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラムを提供するものである。
本発明の一側面によると、コンテンツを1つ以上のオブジェクトに分割して配信するコンテンツ配信ネットワークの代理装置は、クライアント装置と共有した共通鍵を保持する第1保持手段と、所定フィールドに前記代理装置を示す値が含まれた第1要求パケットを前記クライアント装置から受信すると、前記第1要求パケットに格納された暗号化オブジェクト名を前記共通鍵で復号することでオブジェクト名を取得する復号手段と、前記オブジェクト名に対応するオブジェクトを要求する第2要求パケットを前記コンテンツ配信ネットワークに送信して当該オブジェクトを取得し、取得した当該オブジェクトを前記クライアント装置に向けて送信する処理を行う処理手段と、を備えており、前記暗号化オブジェクト名は、前記オブジェクト名に、ランダム値及びタイムスタンプの少なくとも1つを付加した値を前記共通鍵で暗号化して生成されている。
本発明によると、クライアント装置が取得するオブジェクトを効果的に秘匿できる。
一実施形態によるコンテンツ配信ネットワークの構成図。 一実施形態による登録処理で使用されるパケットの説明図。 一実施形態によるインタレスト・パケットを示す図。 一実施形態によるクライアント装置の構成図。 一実施形態による信頼転送装置の構成図。 一実施形態による代理装置の構成図。
以下、本発明の例示的な実施形態について図面を参照して説明する。なお、以下の実施形態において、コンテンツ名(オブジェクト名)に基づきルーティング及びコンテンツの配信を行うネットワークがCCNであるものとするが、本発明はCCNに限定されず、コンテンツ名に基づきルーティング及びコンテンツの配信を行う任意のネットワークに本発明を適用することができる。また、以下の各図においては実施形態の説明に必要ではない構成要素については図から省略する。さらに、以下の実施形態は例示であり本発明を実施形態の内容に限定するものではない。
<第一実施形態>
図1は、本実施形態によるコンテンツ配信システムの構成図である。CCN100には、コンテンツを公開するサーバ装置5と、コンテンツを取得するユーザが使用するクライアント装置1が接続されている。また、CCN100は、非信頼転送装置2と、信頼転送装置3と、代理装置4とを含んでいる。なお、図1では、簡略化のため、非信頼転送装置2と、信頼転送装置3と、代理装置4とを、それぞれ、1つのみ表示しているが、CCN100内には、複数の非信頼転送装置2と、複数の信頼転送装置3と、複数の代理装置4とが存在し得る。なお、非信頼転送装置2及び信頼転送装置3の機能は同じであり、"信頼"及び"非信頼"の区別は代理装置4との関係で定義される。例えば、ある代理装置4を設置・運用しているものと同じものが設置・運用する転送装置が、当該代理装置4の信頼転送装置3であり、それ以外の転送装置が、当該代理装置4の非信頼転送装置2である。したがって、転送装置が非信頼転送装置2及び信頼転送装置3であるかは、代理装置4が異なれば異なり得る。なお、以下の説明において、非信頼転送装置2と信頼転送装置3を区別する必要が無い場合には、単に、転送装置と表記する。また、代理装置4は、少なくとも2つの公開鍵K1p及び公開鍵K2pを使用する。なお、公開鍵K1pは、一般的に公開されており、後述する登録処理を行うことなく各クライアント装置1は利用可能であるものとする。さらに、代理装置4の公開鍵K1pに対応する秘密鍵K1sと、公開鍵K2pに対応する秘密鍵K2sとを、当該代理装置4の信頼転送装置3は予め保持しているものとする。
まず、本実施形態において、クライアント装置1は、事前に、1つの代理装置4に対して登録処理を行う。以下、登録処理について説明する。まず、クライアント装置1は、暗号化用の共通鍵Kを生成し、この共通鍵Kを代理装置4の公開鍵K1pで暗号化し、インタレスト・パケットのペイロードに格納する。そして、当該インタレスト・パケットのオブジェクト名フィールドに、代理装置4を示す名前にランダム文字列を追加した値を設定してCCN100に送信する。なお、以下では、代理装置4を示す名前を"Anonym"とする。なお、オブジェクト名フィールドとは、インタレスト・パケットにおいて、取得するオブジェクト名を設定するフィールドである。図2(A)は、このインタレスト・パケットを示している。
CCN100において、転送装置は、オブジェクト名に基づきルーティングを行うため、クライアント装置1が送信したインタレスト・パケットは、代理装置4に到達する。その過程において、インタレスト・パケットを転送した信頼転送装置3は、オブジェクト名の代理装置4を示す名前の部分"Anonym"により、自装置を信頼している代理装置4宛のインタレスト・パケットであるかを識別し、自装置を信頼している代理装置4宛のインタレスト・パケットである場合には、秘密鍵K1sによりペイロードに格納された値を復号してクライアント装置1の共通鍵Kを取得する。また、代理装置4も、秘密鍵K1sによりペイロードに格納された値を復号してクライアント装置1の共通鍵Kを取得する。
代理装置4は、クライアント装置1からインタレスト・パケットを受信すると、その応答として、図2(B)に示すACKパケットをクライアント装置1に向けて送信する。当該ACKパケットには、クライアント装置1がコンテンツの取得時に使用する公開鍵K2pを含める。
続いて、クライアント装置1によるコンテンツの取得処理について説明する。なお、以下の説明において、クライアント装置1は、オブジェクト名が"Name"であるオブジェクトを取得するものとする。クライアント装置1は、"Name"に、タイムスタンプ"TimeStamp"及びランダム値"Random"を連結し、この連結した値を共通鍵Kで暗号化することで暗号化オブジェクト名を生成する。この暗号化オブジェクト名を以下では"C"で表す。なお、タイムスタンプとしては、例えば、処理時の時刻に基づく値を使用することができる。
続いて、クライアント装置1は、共通鍵Kの識別子として、共通鍵Kのハッシュ値を求める。以下ではこの識別子を"ID"とする。続いて、クライアント装置1は、"ID"、"TimeStamp"及び"Random"を連結した値を公開鍵K2pで暗号化して暗号化識別子を生成する。なお、"TimeStamp"及び"Random"は、暗号化オブジェクト名の生成に使用したものと同じであっても異なるものであっても良い。この暗号化識別子を以下では"B"で表す。その後、クライアント装置1は、例えば、HMAC(Keyed−Hashing for Message Authentication)により、共通鍵Kを使用して暗号化オブジェクト名"C"及び暗号化識別子"B"の連結値の認証情報を求める。この認証情報を以下では"MAC"と表記する。
クライアント装置1は、代理装置4を示す名前"Anonym"に暗号化オブジェクト名"C"を付加した値をインタレスト・パケットのオブジェクト名フィールドに設定し、さらに、暗号化識別子"B"及び認証情報"MAC"をインタレスト・パケットのペイロードに格納する。図3は、この様に設定したインタレスト・パケットを示している。クライアント装置1は、このインタレスト・パケットをCCN100に送信する。インタレスト・パケットのオブジェクト名の最初の部分、つまり、プレフィックスは"Anonym"であるため、CCN100の転送装置は、このインタレスト・パケットを代理装置4に向けて転送する。
代理装置4は、クライアント装置1が登録処理を行い、当該クライアント装置1と共通鍵Kを共有したときに、その識別子"ID"を求め、識別子"ID"と共通鍵Kとの関係を保持しておく。代理装置4は、複数のクライアント装置1の処理を行うため、代理装置4は、当該代理装置4に対して登録処理を行った複数のクライアント装置1それぞれについて、共通鍵と、その識別子との関係を保持している。したがって、代理装置4は、インタレスト・パケットを受信すると、暗号化識別子"B"を秘密鍵K2sで復号し、識別子"ID"を取得する。そして、この復号して得た識別子"ID"に基づき、当該インタレスト・パケットを送信したクライアント装置1との共通鍵Kを判定する。その後、代理装置4は、判定した共通鍵Kにより認証情報"MAC"を認証し、暗号化識別子"B"及び暗号化オブジェクト名"C"の正当性を検証する。認証情報の認証が不成功であると、代理装置4は、以後の処理を行うことなく受信したインタレスト・パケットを廃棄する。
一方、認証が成功であると、代理装置4は、受信したインタレスト・パケットのオブジェクト名フィールドの所定部分、本例では、代理装置4の名前のサフィックスにある暗号化オブジェクト名"C"を共通鍵Kで復号して"Name"、つまり、クライアント装置1が取得したいオブジェクトのオブジェクト名を取得する。そして、代理装置4は、クライアント装置1に代わって、クライアント装置1が取得したいオブジェクトを取得する。なお、このときの代理装置4における処理は通常の転送装置と同様である。即ち、代理装置4は、転送装置と同様にCS、PIT、FIBを管理している。そして、クライアント装置1が取得したいオブジェクトを保持している場合には、当該オブジェクトをクライアント装置1に向けて送信する。一方、クライアント装置1が取得したいオブジェクトを保持していないが、他のクライアント装置1からの要求等により取得待ちである場合には、当該オブジェクトを取得後にクライアント装置1に向けて送信する。さらに、当該オブジェクトの取得待ちでもなければ、当該オブジェクトを取得する通常のインタレスト・パケットを生成しFIBに従いサーバ装置5に向けて送信する。この場合、代理装置4は、PITを更新する。
なお、本実施形態において、信頼転送装置3は、秘密鍵K2s及びクライアント装置1との共通鍵Kを保持しているため、上記代理装置4と同様の処理が可能である。即ち、信頼転送装置3は、CS、PIT、FIBを管理している。そして、信頼転送装置3は、インタレスト・パケットの宛先が、自装置を信頼している代理装置4である場合、代理装置4での処理と同様に、共通鍵Kの特定と、認証情報"MAC"の認証を行い、認証が成功すると、クライアント装置1が取得したいオブジェクトを判定する。そして、クライアント装置1が取得したいオブジェクトを保持している場合には、当該オブジェクトをクライアント装置1に向けて送信する。一方、クライアント装置1が取得したいオブジェクトを保持していないが、他のクライアント装置1からの要求等により取得待ちである場合には、当該オブジェクトを取得後にクライアント装置1に向けて送信する。これらの場合、信頼転送装置3は、受信したインタレスト・パケットを廃棄する。さらに、当該オブジェクトの取得待ちでもなければ、信頼転送装置3は、受信したインタレスト・パケットを代理装置4に向けて転送する。この場合、信頼転送装置3は、PITを更新する。
以上、本実施形態では、クライアント装置1は、事前に代理装置4及び信頼転送装置3と共通鍵Kを共有する。そして、オブジェクト名を単に共通鍵Kで暗号化するのではなく、タイムスタンプ及びランダム値を付加して暗号化する。したがって、暗号化後の値は、同一のオブジェクト名であっても異なることになり、辞書攻撃を効果的に防止することができる。なお、本実施形態では、タイムスタンプ及びランダム値を付加したがタイムスタンプ及びランダム値の何れかのみを付加する構成であっても良い。なお、タイムスタンプを付与することで再生成攻撃を効果的に防ぐことができる。また、暗号化識別子"B"の生成においても、識別子"ID"にタイムスタンプ及び/又はランダム値を連結して暗号化を行う。したがって、暗号化識別子"B"もインタレスト・パケット毎に変化し、同一ユーザの挙動が漏洩することを防ぐことができる。
さらに、本実施形態では、信頼転送装置3においてインタレスト・パケットの復号が可能であるため、信頼転送装置3におけるキャッシュを利用することができ、かつ、重複するインタレスト・パケットの送信を防止することができる。
なお、図3においては、暗号化オブジェクト名"C"をオブジェクト名フィールドに設定し、ペイロードに暗号化識別子"B"及び認証情報"MAC"を格納していた。しかしながら、暗号化オブジェクト名"C"、暗号化識別子"B"及び認証情報"MAC"の総てをペイロードに格納する構成であって良い。また、暗号化オブジェクト名"C"、暗号化識別子"B"及び認証情報"MAC"の総てをオブジェクト名フィールドに格納する構成であって良い。より一般的には、オブジェクト名フィールドには、代理装置4を示す情報が格納されていれば良く、暗号化オブジェクト名"C"、暗号化識別子"B"及び認証情報"MAC"は、インタレスト・パケットの所定フィールドに格納する形態とすることができる。また、本実施形態では、2つの公開鍵K1p及びK2pを使用したが1つの公開鍵K1pを使用する構成であっても良い。
図4は、本実施形態によるクライアント装置1の構成図である。保持部11は、共通鍵K及び登録処理で受信した公開鍵K2pを保持する。処理部12は、登録処理において共通鍵Kを生成して保持部11に保持すると共に、共通鍵Kを暗号化して代理装置4に送信する。なお、保持部11は1つのメモリデバイスであっても、複数のメモリデバイスであっても良い。さらに、処理部12は、オブジェクトを取得する際、当該オブジェクトのオブジェクト名に、ランダム値及びタイムスタンプの少なくとも1つを付加した値を共通鍵Kで暗号化して暗号化オブジェクト名を生成し、暗号化オブジェクト名を含むインタレスト・パケットを、その宛先を代理装置4としてCCN100に送信する。なお、インタフェース部13は、CCN100との通信部である。
図5は、本実施形態による信頼転送装置3の構成図である。保持部31は、キャッシュしたオブジェクト、CS、FIB、PITを保持する。さらに、保持部31は、共通鍵K及び秘密鍵K1s、K2sを保持する。なお、共通鍵Kは、そのハッシュ値である識別子と関連付けて記憶される。なお、保持部31は1つのメモリデバイスであっても、複数のメモリデバイスであっても良い。処理部32は、各パケットの転送処理を行う。また、オブジェクト名フィールドに自装置を信頼している代理装置4を示す値が含まれたインタレスト・パケットを受信すると、当該インタレスト・パケットに格納された暗号化オブジェクト名を共通鍵Kで復号することでオブジェクト名を取得する。そして、処理部32は、オブジェクト名に対応するオブジェクトを保持部31が保持していると、当該オブジェクトをクライアント装置1に向けて送信する。一方、オブジェクト名に対応するオブジェクトを保持部31が保持していないと、オブジェクト名に対応するオブジェクトの取得待ちであるかをPITにより判定し、取得待ちであると、PITを更新する。この場合、受信したインタレスト・パケットの転送は行わない。一方、オブジェクト名に対応するオブジェクトを保持部31が保持しておらず、かつ、当該オブジェクトの取得待ちでない場合、処理部32は、受信したインタレスト・パケットを代理装置4に向けて転送する。なお、インタフェース部33は、他の装置との通信部である。
図6は、本実施形態による代理装置4の構成図である。保持部41は、キャッシュしたオブジェクト、CS、FIB、PITを保持する。さらに、保持部41は、共通鍵K並びに公開鍵K1p、K2p及び秘密鍵K1s、K2sを保持する。なお、共通鍵Kは、そのハッシュ値である識別子と関連付けて記憶される。なお、保持部41は1つのメモリデバイスであっても、複数のメモリデバイスであっても良い。処理部42は、インタレスト・パケットを受信すると、当該インタレスト・パケットに格納された暗号化オブジェクト名を共通鍵Kで復号することでオブジェクト名を取得する。そして、処理部42は、オブジェクト名に対応するオブジェクトを保持部41が保持していると、当該オブジェクトをクライアント装置1に向けて送信する。一方、オブジェクト名に対応するオブジェクトを保持部41が保持していないと、オブジェクト名に対応するオブジェクトの取得待ちであるかをPITにより判定し、取得待ちであると、PITを更新する。一方、オブジェクト名に対応するオブジェクトを保持部41が保持しておらず、かつ、当該オブジェクトの取得待ちでない場合、処理部42は、当該オブジェクトを取得するインタレスト・パケットを生成してCCN100に送信する。このインタレスト・パケットのオブジェクト名フィールドには、当該オブジェクトのオブジェクト名が平文で格納される。そして、処理部42は、オブジェクトを受信すると、受信したオブジェクトをクライアント装置1に向けて送信する。さらに、処理部42は、クライアント装置1から登録を要求するパケットを受信すると、公開鍵K2pをクライアント装置1に送信する。なお、インタフェース部43は、他の装置との通信部である。
また、本発明によるクライアント装置1、信頼転送装置3及び代理装置4は、それぞれ、コンピュータを上記クライアント装置1、信頼転送装置3及び代理装置4として動作させるプログラムにより実現することができる。これらコンピュータプログラムは、コンピュータが読み取り可能な記憶媒体に記憶されて、又は、ネットワーク経由で配布が可能なものである。
41:保持部、42:処理部、43:インタフェース部

Claims (18)

  1. コンテンツを1つ以上のオブジェクトに分割して配信するコンテンツ配信ネットワークの代理装置であって、
    クライアント装置と共有した共通鍵を保持する第1保持手段と、
    所定フィールドに前記代理装置を示す値が含まれた第1要求パケットを前記クライアント装置から受信すると、前記第1要求パケットに格納された暗号化オブジェクト名を前記共通鍵で復号することでオブジェクト名を取得する復号手段と、
    前記オブジェクト名に対応するオブジェクトを要求する第2要求パケットを前記コンテンツ配信ネットワークに送信して当該オブジェクトを取得し、取得した当該オブジェクトを前記クライアント装置に向けて送信する処理を行う処理手段と、
    を備えており、
    前記暗号化オブジェクト名は、前記オブジェクト名に、ランダム値及びタイムスタンプの少なくとも1つを付加した値を前記共通鍵で暗号化して生成されていることを特徴とする代理装置。
  2. オブジェクトを保持する第2保持手段をさらに備えており、
    前記処理手段は、前記オブジェクト名に対応するオブジェクトを前記第2保持手段が保持していない場合に前記第2要求パケットを前記コンテンツ配信ネットワークに送信することを特徴とする請求項1に記載の代理装置。
  3. 取得待ちのオブジェクトを示す情報を保持する第3保持手段をさらに備えており、
    前記処理手段は、前記オブジェクト名に対応するオブジェクトの取得待ちでない場合に前記第2要求パケットを前記コンテンツ配信ネットワークに送信することを特徴とする請求項1又は2に記載の代理装置。
  4. 前記第1要求パケットは、前記共通鍵の識別子を含む値を前記代理装置の公開鍵で暗号化した暗号化識別子を含み、
    前記代理装置は、前記暗号化識別子を前記公開鍵に対応する秘密鍵で復号して前記識別子を取得し、前記識別子に基づき前記共通鍵を特定することを特徴とする請求項1から3のいずれか1項に記載の代理装置。
  5. 前記共通鍵の識別子を含む値は、前記識別子にランダム値及びタイムスタンプの少なくとも1つを付加した値であることを特徴とする請求項4に記載の代理装置。
  6. 前記共通鍵の識別子は、前記共通鍵のハッシュ値であることを特徴とする請求項4又は5に記載の代理装置。
  7. 前記第1要求パケットは、前記暗号化オブジェクト名及び前記暗号化識別子の前記共通鍵による認証情報を含むことを特徴とする請求項4から6のいずれか1項に記載の代理装置。
  8. 前記暗号化オブジェクト名は、前記代理装置を示す値のサフィックスとして前記第1要求パケットの前記所定フィールドに格納されることを特徴とする請求項1から7のいずれか1項に記載の代理装置。
  9. コンテンツを1つ以上のオブジェクトに分割して配信するコンテンツ配信ネットワークの転送装置であって、
    クライアント装置と共有した共通鍵を保持する第1保持手段と、
    オブジェクトを保持する第2保持手段と、
    所定フィールドに所定の代理装置を示す値が含まれた要求パケットを前記クライアント装置から受信すると、前記要求パケットに格納された暗号化オブジェクト名を前記共通鍵で復号することでオブジェクト名を取得する復号手段と、
    前記オブジェクト名に対応するオブジェクトを前記第2保持手段が保持していると、当該オブジェクトを前記クライアント装置に向けて送信する処理を行う処理手段と、
    を備えており、
    前記暗号化オブジェクト名は、前記オブジェクト名に、ランダム値及びタイムスタンプの少なくとも1つを付加した値を前記共通鍵で暗号化して生成されていることを特徴とする転送装置。
  10. 取得待ちのオブジェクトを示す情報を保持する第3保持手段をさらに備えており、
    前記処理手段は、前記オブジェクト名に対応するオブジェクトを前記第2保持手段が保持しておらず、かつ、前記オブジェクト名に対応するオブジェクトの取得待ちでない場合、前記要求パケットを前記代理装置に向けて転送することを特徴とする請求項9に記載の転送装置。
  11. コンテンツを1つ以上のオブジェクトに分割して配信するコンテンツ配信ネットワークのクライアント装置であって、
    代理装置及び前記コンテンツ配信ネットワークの所定の転送装置と共有した共通鍵を保持する第1保持手段と、
    取得したいオブジェクトのオブジェクト名に、ランダム値及びタイムスタンプの少なくとも1つを付加した値を前記共通鍵で暗号化して暗号化オブジェクト名を生成し、前記前記暗号化オブジェクト名と前記代理装置を示す値を含む要求パケットを前記コンテンツ配信ネットワークに送信する処理を行う処理手段と、
    を備えていることを特徴とするクライアント装置。
  12. 前記要求パケットは、前記共通鍵の識別子を含む値を前記代理装置の公開鍵で暗号化した暗号化識別子を含むことを特徴とする請求項11に記載のクライアント装置。
  13. 前記共通鍵の識別子を含む値は、前記識別子にランダム値及びタイムスタンプの少なくとも1つを付加した値であることを特徴とする請求項12に記載のクライアント装置。
  14. 前記共通鍵の識別子は、前記共通鍵のハッシュ値であることを特徴とする請求項12又は13に記載のクライアント装置。
  15. 前記要求パケットは、前記暗号化オブジェクト名及び前記暗号化識別子の前記共通鍵による認証情報を含むことを特徴とする請求項12から14のいずれか1項に記載のクライアント装置。
  16. 請求項1から8のいずれか1項に記載の代理装置としてコンピュータを機能させることを特徴とするプログラム。
  17. 請求項9から10のいずれか1項に記載の転送装置としてコンピュータを機能させることを特徴とするプログラム。
  18. 請求項11から15のいずれか1項に記載のクライアント装置としてコンピュータを機能させることを特徴とするプログラム。
JP2016097363A 2016-05-13 2016-05-13 コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム Active JP6549518B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016097363A JP6549518B2 (ja) 2016-05-13 2016-05-13 コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016097363A JP6549518B2 (ja) 2016-05-13 2016-05-13 コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2017204836A JP2017204836A (ja) 2017-11-16
JP6549518B2 true JP6549518B2 (ja) 2019-07-24

Family

ID=60323401

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016097363A Active JP6549518B2 (ja) 2016-05-13 2016-05-13 コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム

Country Status (1)

Country Link
JP (1) JP6549518B2 (ja)

Also Published As

Publication number Publication date
JP2017204836A (ja) 2017-11-16

Similar Documents

Publication Publication Date Title
US9954678B2 (en) Content-based transport security
JP4707992B2 (ja) 暗号化通信システム
EP3054648A1 (en) Access control framework for information centric networking
US10904227B2 (en) Web form protection
US10263965B2 (en) Encrypted CCNx
CN109983752A (zh) 带有编码dns级信息的网络地址
US9531679B2 (en) Content-based transport security for distributed producers
US20160149711A1 (en) Distributed identification system for peer to peer message transmission
KR20130031660A (ko) 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 이름 생성 방법, 그리고 인증 방법
KR20150141362A (ko) 네트워크 노드 및 네트워크 노드의 동작 방법
US8271788B2 (en) Software registration system
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
US10965651B2 (en) Secure domain name system to support a private communication service
US20160105279A1 (en) Data distributing over network to user devices
WO2008098453A1 (fr) Procédé, système et appareil pour la transmission de message dhcp
WO2016112580A1 (zh) 业务处理方法及装置
US10142306B1 (en) Methods for providing a secure network channel and devices thereof
CN113364781A (zh) 请求处理方法及系统
JP2007142504A (ja) 情報処理システム
Kurihara et al. A consumer-driven access control approach to censorship circumvention in content-centric networking
US9825920B1 (en) Systems and methods for multi-function and multi-purpose cryptography
CN105516161A (zh) 安全获取http请求的方法及系统
JP2010272951A (ja) 共有鍵配信管理方法及び共有鍵配信管理サーバー
WO2018166333A1 (zh) 一种内容验证方法及设备
JP6549518B2 (ja) コンテンツ配信ネットワークの代理装置、転送装置、クライアント装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180815

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190627

R150 Certificate of patent or registration of utility model

Ref document number: 6549518

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150